サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」

この記事をtweetする このエントリーをはてなブックマークに追加

流行りモノから新技術まで! 5分でわかる最新キーワード解説

サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」

2017/07/19


 最新キーワードを5分で理解するこのコーナー、今回のテーマは企業ネットワークに侵入したマルウェアを発端にした標的型攻撃を、巧みに企業システムに偽装した観測用環境に誘い込み、攻撃者の行動を詳細に把握しようという「サイバー攻撃誘引基盤」です。「STARDUST(スターダスト)」と名付けられたこのシステムは、攻撃者にどんなわなを仕掛けるのでしょうか?

STARDUST

※「STARDUST/サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「STARDUST/サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1

「STARDUST」って何?

 標的型攻撃を「偽の」企業ネットワークに誘い込んで、攻撃者には監視を悟らせないようにこの行動を長期にわたって観測・分析できるようにする「サイバー攻撃誘引基盤」。国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究室が2011年に着想し、2017年5月に成果を公表、6月には「Interop Tokyo 2017」で動態展示を行った。

1-1

「STARDUST」が必要な理由は?

 日本年金機構の大規模情報漏えい事件をはじめ、国内外で「標的型攻撃」による情報窃取事例が後を絶たない。しかし標的となった組織のネットワークで実際に何が行われたのか、組織から実態が公表されることはまずない。もし詳細を公開したら、組織ネットワークの構成やセキュリティ対策が丸裸になってしまう可能性があるからだ。一方、セキュリティベンダー各社は、マルウェアのコードを分析し、またテスト環境で動作させて、その機能を明らかにしているが、攻撃者の支配下に置かれたシステムで、攻撃者がどのようなコマンドを使い、何を探り、何を外部に持ち出したのかは、ベンダーといえども標的組織の協力がなければ分からない。

 このように攻撃や被害実態を完全に把握できない状況では、対策や被害拡大阻止のための研究に限界がある。攻撃者の思考と行動を明らかにする方法はないかと考えた時、攻撃者を偽装環境に誘引して自由に泳がせ、時には数週間から数カ月にわたる攻撃活動を逐一観測し、その手口や目的とする情報が何かを明らかにする仕組みが有効なはずだ。ただしこれには少なくとも、次の3つの障壁がある。

■(1)攻撃者に偽装環境を気付かせてはいけない

 ある程度侵入を深めた攻撃者に偽装された仮想環境であることが気付かれると、その時点で攻撃をやめてしまうことがありうる。例えば実環境と異なる環境では動作を変えるマルウェアがある。サンドボックスを設置していてもマルウェアに感染することがあるのは、サンドボックスの仮想環境を自動検知して欺く機能を備えているのが一因だ。また自動的に検知できなくても、PCの遠隔操作が可能になった段階でネットワーク内を探索すれば不自然なところがすぐに分かってしまうことも。そのため、偽装環境は標的組織のネットワークを精密に模倣していなければならない。偽装ネットワークが標的組織のグローバルIPアドレスと同じでなければならず、ネットワーク内には当然あるべきネットワークセグメントがあり、各セグメント内には役割に応じたサーバがなければいけない。またサーバにはその役割に応じたソフトウェアやデータが入っている必要がある。クライアントPCも相応の台数があり、それぞれが実際に運用されているかのようにファイルが現実的な名前と階層のフォルダに保存されていることが重要だ。そうしないと攻撃者をだませないからだ。

■(2)偽装環境構築のリソース

 精巧な偽装ネットワーク構築には相応の規模のITリソースが必要だ。物理システムを仮想環境で模倣することはできるとしても、民間企業やセキュリティサービス企業がそのためのリソースを用意するのはコスト面で問題がある。

■(3)偽装環境構築のスピード

 攻撃が始まった段階でできる限り速く標的企業の実ネットワークを模倣した偽装環境を構築する必要がある。あまり時間がかかってしまっては、実ネットワークで攻撃者の目的が遂げられてしまうからだ。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

キーマンズポイントで今応募できるプレゼントはこちら!(2017/12/31まで)

ITキャパチャージに解答いただくとポイントがたまります。
たまったポイント数に応じて、以下、A〜E賞の各賞品に応募することができます。

●B賞:抽選で1名様
 ふとん暖め乾燥機 FD-F06X2  
●A賞:抽選で1名様
 アイロボット ロボット掃除機 ルンバ875A 
●C賞:抽選で1名様
 ケルヒャー高圧洗浄機 K 2 クラシック プラス 
●D賞:抽選で1名様
 選べる宿泊ギフト(とっておきの宿)30500円コースで選べる魅力的な温泉宿 
●E賞:抽選で5名様
 Amazon 使える商品は1億種以上「Amazonギフト券 5000円分」 

このページの先頭へ
関連キーワード

STARDUST/サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「STARDUST」関連情報をランダムに表示しています。

「その他ネットワークセキュリティ関連」関連の製品

セキュリティアプライアンス Aterm SA3500G 【NECプラットフォームズ】 負荷分散だけではない、BIG-IPが企業にもたらす多様なソリューション 【ネットワールド】 標的型攻撃対策で注目のデジタルフォレンジック、効果を最大化する先進技術とは 【富士通株式会社】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
既存ネットワーク構成を変えずに簡単に導入可能。分かりやすい価格設定で中小規模の法人ユーザ向けに最適なUTM(セキュリティアプライアンス)。 「BIG-IP」といえば負荷分散、そんな思い込みを持つ方は少なくない。しかしクラウドの普及やサイバー攻撃の増加といったIT環境の変化に適用する機能を豊富に用意している。 攻撃状況を可視化、「高速フォレンジック」による標的型攻撃対策

「その他ネットワークセキュリティ関連」関連の特集


  2010年の脅威傾向を語る上で避けては通れないのが「ガンブラー」攻撃だ。2009年12月頃から、…



外部ネットワークとは切り離され、安全と思われていた制御システムもいまや昔。APTと呼ばれる新手の攻撃…



「在宅勤務」の活用は大きなメリットをもたらすが、導入にあたっては様々な不安があるという企業は少なくな…


「その他ネットワークセキュリティ関連」関連のセミナー

ISO/IEC 27005情報セキュリティリスクマネジメントコース 【BSIグループジャパン】  

開催日 2月22日(木)   開催地 大阪府   参加費 有料 4万932円(税込)

本コースは、情報セキュリティマネジメントシステム(ISMS)において最も重要といわれているリスクアセスメント手法を理解し、分析したリスクをどう管理していくかを学…

場当たり的なセキュリティ対策からの脱却 【NRIセキュアテクノロジーズ】  

開催日 3月9日(金),1月15日(月),2月14日(水)   開催地 東京都   参加費 無料

情報セキュリティ関連の事故や犯罪に関する報道の増加や、さまざまなガイドラインの制定などの影響で、情報セキュリティ対策を“経営課題”と位置づける企業が増えています…

「企業に迫り来る新たなサイバー攻撃への対策を考える」セミナー 【日本ユニシス/ユニアデックス】  

開催日 1月10日(水)   開催地 東京都   参加費 無料

 ランサムウェアや標的型メール攻撃に加え、公開Webサーバーを狙った攻撃は猛威を振るっており、増加の一途をたどっています。これらのサイバー攻撃は単一の対策だけで…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

STARDUST/ サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「STARDUST/ サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30009756


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ